Aktuelles

CHEFSACHE - der Podcast 21/05 - Cybercriminalität

Der Podcast - mit Rolf Benzmann und Karl-Christian Bay. "21/05: Highlights des Monats – Teil 1 Cyberkriminalität: das passiert bei einem Unternehmen"

Eine Angriffswelle von Cyber-Attacken hält die deutsche Wirtschaft fest im Griff. Karl-Christian Bay berichtet wie einer seiner Mandanten einen schwerwiegenden Cyberangriff erlebt hat und wie die Erpresser vorgehen. Er berichtet von den beiden ersten Angriffswellen und wie das Unternehmen sich verhalten hat. Das Beispiel zeigt, dass die wenigsten Unternehmen sich sicher sein können. Die Angreifer halten sich oft monatelang im Firmennetzwerk versteckt, um gezielt Informationen für die Eskalation bei Management und Mitarbeitern auszuspähen.

 

Außerdem erklärt Travis Witteveen, CEO von Avira, wer hinter den Angreifern steckt.

 

Sebastian Schreiber, Live Hacker von Syss GmbH aus Tübingen, verrät mit welcher Strategie vorgegangen wird und welche Motivation die Angreifer haben.

CHEFSACHE - der Podcast 21/03 Teil 2

Der Podcast - mit Rolf Benzmann und Karl-Christian Bay. "Highlights 21/03 Teil 2"

Der Wirtschafts-Podcast mit den Formaten:

 

"CHEFSACHE TALK":

Moderator Rolf Benzmann spricht mit einem Gast über seine Erfahrungen und Herausforderungen und recherhiert Hintergründe und Zusammenhänge.

 

"CHEFSACHE BUSINESS LOUNGE":

Rolf Benzmann und Karl-Christian Bay diskutieren mit mehreren Gästen einen Themenkomplex aus unterschiedlichen Persepektive.

 

"CHEFSACHE HIGHLIGHTS":

Zusammen mit dem Co-Moderator Karl-Christian Bay werfen die beiden einen Blick hinter die großen Schlagzeilen der Wirtschaftspresse und erklären Zusammenhänge und Motivationen der hendelden Akteure.

CHEFSACHE - der Podcast 21/03

Der Podcast mit Rolf Benzmann und Karl-Christian Bay. "21/03: Highlights des Monats"

Der Wirtschafts-Podcast mit den Formaten:

 

"CHEFSACHE TALK":

Moderator Rolf Benzmann spricht mit einem Gast über seine Erfahrungen und Herausforderungen und recherhiert Hintergründe und Zusammenhänge.

 

"CHEFSACHE BUSINESS LOUNGE":

Rolf Benzmann und Karl-Christian Bay diskutieren mit mehreren Gästen einen Themenkomplex aus unterschiedlichen Persepektive.

 

"CHEFSACHE HIGHLIGHTS":

Zusammen mit dem Co-Moderator Karl-Christian Bay werfen die beiden einen Blick hinter die großen Schlagzeilen der Wirtschaftspresse und erklären Zusammenhänge und Motivationen der hendelden Akteure.

CHEFSACHE - der Podcast 21/02

Der Podcast mit Rolf Benzmann und Karl-Christian Bay. "21/02: Highlights des Monats"

Der Wirtschafts-Podcast mit den Formaten:

 

"CHEFSACHE TALK":

Moderator Rolf Benzmann spricht mit einem Gast über seine Erfahrungen und Herausforderungen und recherhiert Hintergründe und Zusammenhänge.

 

"CHEFSACHE BUSINESS LOUNGE":

Rolf Benzmann und Karl-Christian Bay diskutieren mit mehreren Gästen einen Themenkomplex aus unterschiedlichen Persepektive.

 

"CHEFSACHE HIGHLIGHTS":

Zusammen mit dem Co-Moderator Karl-Christian Bay werfen die beiden einen Blick hinter die großen Schlagzeilen der Wirtschaftspresse und erklären Zusammenhänge und Motivationen der hendelden Akteure.

CHEFSACHE - der Podcast 21/01

Der Podcast mit Rolf Benzmann und Karl-Christian Bay "21/01: Highlights des Monats"

Der Wirtschafts-Podcast mit den Formaten:

 

"CHEFSACHE TALK":

Moderator Rolf Benzmann spricht mit einem Gast über seine Erfahrungen und Herausforderungen und recherhiert Hintergründe und Zusammenhänge.

 

"CHEFSACHE BUSINESS LOUNGE":

Rolf Benzmann und Karl-Christian Bay diskutieren mit mehreren Gästen einen Themenkomplex aus unterschiedlichen Persepektive.

 

"CHEFSACHE HIGHLIGHTS":

Zusammen mit dem Co-Moderator Karl-Christian Bay werfen die beiden einen Blick hinter die großen Schlagzeilen der Wirtschaftspresse und erklären Zusammenhänge und Motivationen der hendelden Akteure.

CHEFSACHE - der Podcast

"Der Jahresrückblick 2020" Das waren die Highlights des Jahres 2020

Der Wirtschafts-Podcast mit den Formaten:

 

"CHEFSACHE TALK":

Moderator Rolf Benzmann spricht mit einem Gast über seine Erfahrungen und Herausforderungen und recherhiert Hintergründe und Zusammenhänge.

 

"CHEFSACHE BUSINESS LOUNGE":

Rolf Benzmann und Karl-Christian Bay diskutieren mit mehreren Gästen einen Themenkomplex aus unterschiedlichen Persepektive.

 

"CHEFSACHE HIGHLIGHTS":

Zusammen mit dem Co-Moderator Karl-Christian Bay werfen die beiden einen Blick hinter die großen Schlagzeilen der Wirtschaftspresse und erklären Zusammenhänge und Motivationen der hendelden Akteure.

CHEFSACHE - der Podcast

Der Podcast mit Rolf Benzmann und Karl-Christian Bay. "20/12: Highlights des Monats"

Der Wirtschafts-Podcast mit den Formaten:

 

"CHEFSACHE TALK":

Moderator Rolf Benzmann spricht mit einem Gast über seine Erfahrungen und Herausforderungen und recherhiert Hintergründe und Zusammenhänge.

 

"CHEFSACHE BUSINESS LOUNGE":

Rolf Benzmann und Karl-Christian Bay diskutieren mit mehreren Gästen einen Themenkomplex aus unterschiedlichen Persepektive.

 

"CHEFSACHE HIGHLIGHTS":

Zusammen mit dem Co-Moderator Karl-Christian Bay werfen die beiden einen Blick hinter die großen Schlagzeilen der Wirtschaftspresse und erklären Zusammenhänge und Motivationen der hendelden Akteure.

Datenschutz in Verein und Verband

Vereine sind als solche unabhängig von ihrer Eintragung Normadressaten der DSGVO als sog. Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO. Verantwortlich für die Umsetzung sowie den Nachweis derselben ist der Vorstand des Vereins gem. § 26 Abs. 1 S. 2 BGB. Zur Umsetzung und Einhaltung der Vorgaben der DSGVO empfiehlt es sich, i.R.d. Aufbauorganisation eine Datenschutz-Governance-Struktur zu entwickeln, die trotz der beim Vorstand verbleibenden Verantwortlichkeit eine effiziente Erfüllung der datenschutzrechtlichen Anforderungen ermöglicht. Dadurch lassen sich Herausforderungen wie die rechtskonforme Verarbeitung von personenbezogenen Daten der Mitglieder, die datenschutzrechtlich korrekte Einbindung von externen Dienstleistern oder der richtige Umgang mit Betroffenenanfragen und Datenschutzverletzungen, mit denen sich Vereine täglich konfrontiert sehen, bewältigen.

 

Datenflüsse und ihre Rechtfertigung

Nach dem im Datenschutz geltenden Verbotsprinzip mit Erlaubnisvorbehalt bedarf es für jede Verarbeitung personen-bezogener Daten einer Rechtsgrundlage.

Ein Verein darf auf Grundlage des Art. 6 Abs. 1 S. 1 lit. b) DSGVO personenbezogene Daten seiner Mitglieder sowohl beim Vereinsbeitritt als auch während der Vereinsmitgliedschaft verarbeiten soweit dies für die Begründung der Mitgliedschaft oder deren Durchführung erforderlich ist. Erwartungsgemäß ergibt sich in der Folge regelmäßig für die von den Vereinen verschiedenen Mitgliedschaftsarten (z.B. aktiv, passiv, ermäßigt) ein differierender Verarbeitungsrahmen, der mitunter auch die Verarbeitung besonderer Kategorien personenbezogener Daten erforderlich werden lässt, bspw. um Schwerbehinderten oder Empfängern von Sozialleistungen eine ermäßigte Mitgliedschaft zu ermöglichen.

Bei den verschiedenen Mitgliedschaftsarten handelt es sich nicht um Rechtsbegriffe, sodass eine hinreichende Definition der Mitgliedschaftsarten seitens des Vereins notwendig ist, um eine Bewertung der Datenverarbeitungen im Hinblick auf die von Art. 6 Abs. 1 S. 1 lit. b) DSGVO geforderte Erforderlichkeit überhaupt vornehmen zu können.

Im Rahmen der Verarbeitungsvorgänge sind sämtliche Verarbeitungsprinzipien, die sich aus Art. 5 DSGVO (z.B. Transparenz, Integrität und Vertraulichkeit, etc.) ergeben, einzuhalten.  Verarbeitungen ohne Bezug zum o.g. Mitgliedschaftsverhältnis bedürfen jeweils einer anderen sich aus Art. 6 DSGVO ergebenden Rechtsgrundlage. 

 

 

Einbindung externer Dienstleister (sog. Auftragsverarbeiter)

Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“

Setzt ein Verein bspw. für die Pflege der Webseite oder das Newsletter-Management Dienstleister ein, die streng weisungsgebunden und nicht zu eigenen Zwecken Daten „des Vereins“ verarbeiten, so bedarf es für die Offenlegung der Daten ggü. diesen Dienstleistern keiner eigenen Rechtsgrundlage, da sie als Auftragsverarbeiter als „verlängerter Arm“ des Verantwortlichen angesehen werden. Allerdings ist vor der Einbindung eines Auftragsverarbeiters ein Vertrag über die Auftragsverarbeitung entsprechend den Vorgaben des Art. 28 DSGVO abzuschließen und dafür Sorge zu tragen, dass der Auftragsverarbeiter hinreichende Garantien für geeignete technische und organisatorische Maßnahmen bietet.

Vor dem Hintergrund der zunehmenden Ausgliederung einzelner Geschäftsbereiche (z.B. Lizenzspielerabteilung, Merchandise, Reiseorganisation, Event- und Catering) in Kapitalgesellschaften stellt sich die Frage, inwieweit sich die Erkenntnisse zum kleinen Konzernprivileg für Unternehmensgruppen auch für die heute teilweise im Profisport vorhandenen Organisationsformen fruchtbar machen lassen.

Übermittlung an Dritte oder Gemeinsame Verantwortlichkeit

Dritter können für den Verein neben den bereits erwähnten in eigene Gesellschaften ausgegliederten Geschäftsbereichen auch Landes-, Bundes- oder Dachverbände sein, denen zur Organisation des Spielbetriebs Mitgliederdaten übermittelt werden; mit der Konsequenz, dass für solche Verarbeitungs-tätigkeiten eine eigenständige Rechtsgrundlage vorhanden sein muss.

Die Beachtung der Anforderungen zur Gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO stellt sich z.B. im Kontext von Social-Media-Auftritten des Vereins oder im Rahmen von Portalen, die gemeinsam mit einem weiteren Verantwortlichen betrieben werden.

 

Pflicht zur Bestellung eines Datenschutzbeauftragten

Sobald im Verein regelmäßig mehr als 20 Personen mit Datenverarbeitungen beschäftigt sind, muss dieser einen Datenschutzbeauftragten benennen. Diese Pflicht besteht unabhängig von der haupt- bzw. ehrenamtlichen Tätigkeit dieser Personen. Um eine durch Interessenkonflikte hervorgerufene Besorgnis der Befangenheit zu vermeiden, können Vorstandsmitglieder nicht zugleich als Datenschutzbeauftragte fungieren.

 

Handlungsempfehlungen

Diese Darstellung ist lediglich ein knapper Ausschnitt der sich für Vereine aus der DSGVO ergebenden Pflichten. Weitere wesentliche Bestandteile der Datenschutz-Compliance zeigen die folgenden Handlungsempfehlungen:

1. Erfassung sämtlicher Datenflüsse im Verein von der Erhebung über die Speicherung bis hin zur Weitergabe und Löschung 

2. Prüfung der Verträge über die Auftragsverarbeitung und Wahrnehmung von Kontrollrechten 

3. Prüfung der Prozesse zum Umgang mit Betroffenen-anfragen und Datenschutzverletzungen 

4. Prüfung der Umsetzung von Informationspflichten

5. Prüfung der Berechtigungskonzepte sowie Umsetzung von Löschpflichten 

 

Unser Beratungsansatz

Sofern sich bei der Prüfung, der Bewertung oder der Anpassung der entsprechenden Prozesse Schwierigkeiten ergeben, stehen wir Ihnen gerne jederzeit zur Verfügung. Wir beraten Sie bzw. Ihren Verband oder Verein gerne kompetent und fachübergreifend bei der Optimierung Ihrer Datenschutzorganisation.

Zum Nachweis einer im Einklang mit den gesetzlichen Vorgaben der DSGVO stehenden Datenverarbeitung empfiehlt sich daher die Durchführung eines Datenschutz-Audits. Dabei können wir durch die langjährige Durchführung von Projekten bei Mandanten in der Sportbranche sowie auf weitreichende fachliche Expertise zurückgreifen. Im Rahmen eines Datenschutz-Audits unterstützen wir Ihren Verein oder Verband bei der  Aufdeckung von Schwachstellen und möglicher Risiken und unterstützen bei den notwendigen Umsetzungen der Handlungsempfehlungen.

Vereinsrecht in Corona-Zeiten: Mitgliederversammlung und Beschlüsse online, hybrid oder schriftlich

Die Covid-19-Pandemie hat uns seit über einem Jahr fest im Griff. Obwohl langsam Besserung in Sicht ist, bleiben soziale Kontakte und damit auch das Vereinsleben weiter eingeschränkt. Damit das Ziel der Eindämmung der Pandemie bald erreicht werden kann, sollte von Menschenansammlungen und Präsenzveranstaltungen, soweit möglich, abgesehen werden. Was Mitgliederversammlungen von Vereinen betrifft, hat der Gesetzgeber kurz nach dem Beginn des ersten Lockdowns reagiert und im Frühjahr 2020 das Gesetz zur Abmilderung der Folgen der Covid-19-Pandemie verabschiedet, welches am 28. Februar 2021 in einer aktualisierten Form in Kraft getreten ist.

Trotz des Versuchs des Gesetzgebers, möglichst klare Regelungen zu treffen, stellen sich bei der praktischen Umsetzung viele Fragen:

• Welche Handlungsmöglichkeiten habe ich als Vorstand?
• In welcher Form kann ich eine Mitgliederversammlung rechtssicher durchführen?
• Ist der Verein in der Lage, eine Mitgliederversammlung online abzuhalten?
• Wie muss ich die Veranstaltung vorbereiten, insbesondere im Hinblick auf die erforderlichen Beschlussfassungen und Wahlen?
• Welche technischen Lösungen zur Durchführung der Versammlung und Wahlen sind möglich und bieten Rechtssicherheit?
• Was ist bei der Durchführung von Wahlen und Beschlüssen zu beachten?
• Welche datenschutzrechtliche Relevanz hat die jeweilige Entscheidung des Vereins?

 

Vereine und Vorstände haben verschiedene Handlungsoptionen in Zeiten der Pandemie. Der Vorstand kann nunmehr bis zur Neuwahl wirksam im Amt bleiben, ohne dass eine Mitgliederversammlung stattgefunden hat. Ebenso kann er mittels reiner Informationsveranstaltungen die Mitglieder online über die aktuelle Situation im Verein informieren.

Sollen Wahlen durchgeführt oder Beschlüsse gefasst werden müssen, können hierfür Onlineversammlungen oder sog. Hybridveranstaltungen einberufen werden. Wir unterstützen Sie gerne bei deren Vorbereitung und Durchführung. Außerdem stehen wir in Kontakt mit verschiedenen Anbietern von Softwarelösungen, die eine rechtssichere Beschlussfassung gewährleisten. Wenn es Gründe gibt, die Wahlen oder Beschlüsse nicht live, d.h. während der Veranstaltung, abzuhalten, bieten sich „Briefwahlen“ im Vorfeld der Versammlung an. Beschlüsse können mit einem Quorum von 50 % der Mitglieder zudem auch in einem vereinfachten Umlaufverfahren gefasst werden.

Die BAY GmbH Wirtschaftsprüfungsgesellschaft Rechtsanwaltsgesellschaft, hilft Ihnen gerne – multidisziplinär, fachübergreifend, schnell und unbürokratisch. Unsere Crew aus Rechtsanwälten, Steuerberatern und IT-Experten findet für Ihren Verein passende Lösungen. Weitere Informationen auf Anfrage.

Was bedeutet der Brexit für die Datenübermittlung ins Vereinigte Königreich

Exklusive Handlungsempfehlungen finden Sie bei uns.

Pünktlich zum Weihnachtsfest haben die Europäische Kommission und das Vereinigte Königreich durch das Handels- und Kooperationsabkommen den vom Brexit betroffenen Unternehmen aus datenschutzrechtlicher Perspektive die erste Bescherung verschafft. 
Das Abkommen sieht einen Brückenmechanismus vor, nach dem das Vereinigte Königreich zunächst kein Drittstaat i.S.d. der Art. 44ff. DSGVO wird und damit auch seitens der Verantwortlichen zunächst keine weiteren Schritte zur Legitimation der Datenübermittlung erforderlich werden.

 

· Das Vereinigte Königreich wird vorerst nicht mit Ablauf der elfmonatigen Transitionsphase des Austrittsabkommens zum 01. Januar 2020 zu einem Drittstaat i.S.d. Art. 44 ff. DSGVO.

 

· Das Handels- und Kooperationsabkommen zwischen dem Vereinigten Königreich und der EU sieht vor, dass das Vereinigte Königreich bis mindestens 30. April 2021 nicht als Drittstaat i.S.d. DSGVO gelten soll mit der Option, diesen Zeitraum um weitere zwei Monate bis zum 30. Juni 2021 zu verlängern.

 

· Für den genannten Zeitraum sind seitens der Verantwortlichen keine zusätzlichen Maßnahmen wie z.B. der Abschluss von Standardvertragsklauseln erforderlich.

 

 

Was passiert nach Ablauf der Übergangsperiode?

Mit dem Ablauf der Übergangsperiode wird das Vereinigte Königreich zu einem Drittstaat mit der Konsequenz, dass die Übermittlung personenbezogener Daten in das Vereinigte Königreich nur zulässig ist, wenn entweder seitens der EU-Kommission ein Angemessenheitsbeschluss gefasst wurde oder seitens der Verantwortlichen bzw. Auftragsverarbeiter geeignete Garantien i.S.d. Art. 46 DSGVO vorgesehen sind.

 

Hoffnung auf den Angemessenheitsbeschluss

Sollte es tatsächlich – wie im Abkommen beschrieben – innerhalb der kommenden vier bzw. sechs Monate zu einem Angemessenheitsbeschluss i.S.d. Art. 45 Abs. 3 DSGVO kommen, ändert sich für die Unternehmen im Hinblick auf die Rechtmäßigkeit der Datenübermittlungen nichts.* Allerdings würde die Fassung eines entsprechenden Angemessenheitsbeschlusses in einer solch kurzen Zeit durchaus überraschen nicht zuletzt vor dem Hintergrund der jüngeren Rechtsprechung des EuGH zur nachrichtendienstlichen Praxis im Vereinigten Königreich.

________________________________________________

*Verantwortliche und Auftragsverarbeiter sind trotz eines Angemessenheitsbeschlusses selbstverständlich nicht von der Verpflichtung entbunden, sämtliche sonstigen Voraussetzungen an eine rechtmäßige Datenverarbeitung, die sich aus den geltenden Datenschutzgesetzen ergeben (wie etwa das Erfordernis, einen Vertrag zur Auftragsdatenverarbeitung abzuschließen), zu erfüllen.

#Blockchain BAYern - BAY unterstützt den Blockchain Bayern e.V.

Etwas mehr als ein Jahr liegt die Gründung von Blockchain Bayern e.V. inzwischen zurück, und unser Steuerexperte Christoph Möslein (Rechtsanwalt, Fachanwalt für Steuerrecht und Steuerberater) ist nicht nur eines der Gründungsmitglieder des Vereins, sondern wirkt seither auch aktiv als Schatzmeister im Vorstand mit.

Die rechtlichen und steuerlichen Rahmenbedingungen für gemeinnützige Organisationen werden zunehmend komplexer und unübersichtlicher. Laufend neue Vorschriften in den Bereichen Steuern und Gemeinnützigkeitsrecht stellen enorme Herausforderungen für Vereinsvorstände dar. Die Beratung durch einen kompetenten Partner wird dadurch auch für gemeinnützige Vereine und ihre Vorstände unerlässlich. Unsere Spezialisten aus Wirtschaftsprüfern, Steuerberatern und Rechtsanwälten beraten Sie umfassend und kompetent in allen rechtlichen, steuerlichen und betriebswirtschaftlichen Angelegenheiten. Die Entwicklung und Umsetzung einer Compliance-Strategie zur Sicherstellung der weitgehenden Steuerbefreiung von Vereinen und zur Minimierung der Haftungsrisiken der Vorstandsmitglieder ist eine stetige Herausforderung für jeden Verein. Wesentliche Voraussetzung ist dabei die gezielte und vertrauensvolle Unterstützung durch einen kompetenten Partner bei den sich laufend ergebenden Fragestellungen.

Die frühzeitige Abstimmung mit dem Finanzamt, dem Vereinsregister und der Bank verdient ein besonderes Augenmerk bei der Organisation einer Vereinsgründung.
Durch die fortlaufende administrative Unterstützung, wie zum Beispiel bei der Abstimmung des Satzungsentwurfs mit dem Finanzamt oder der Erstellung der Jahresrechnung und der Steuererklärung, konnte die BAY GmbH den Verein „Blockchain Bayern e.V.“ von Anfang an tatkräftig unterstützen.

Etwas mehr als ein Jahr liegt die Gründung von Blockchain Bayern e.V. inzwischen zurück, und unser Steuerexperte Christoph Möslein (Rechtsanwalt, Fachanwalt für Steuerrecht und Steuerberater) ist nicht nur eines der Gründungsmitglieder des Vereins, sondern wirkt seither auch aktiv als Schatzmeister im Vorstand mit.

Das Ziel des Vereins ist es, die Blockchain Technologien in Bayern nachhaltig zu fördern und voranzubringen, Bayerns Potenziale und Stärken als Blockchain-Ökosystem bundesweit und international sichtbar zu machen und gemeinsam zu entwickeln. An diesem Ziel beteiligen sich inzwischen über 100 Vereinsmitglieder aus ganz Bayern. Mit dem Bayerischen Staatsministerium für Digitales sind gemeinsame Projekte und ein intensiver Austausch zu den Themen Blockchain, Digitalisierung und Distributed Ledger geplant.

Besonders freut uns daher die Übernahme der Schirmherrschaft des Blockchain Bayern e.V. durch die Bayerische Staatsministerin für Digitales, Frau Judith Gerlach.

„Bayern kann Blockchain. Wir gehen konkret in die Anwendung und bauen so Knowhow auf. Gemeinsam mit dem Blockchain Bayern e.V. verleihen wir dieser Schlüsseltechnologie der Digitalisierung zusätzlich Schwung und steigern die Sichtbarkeit Bayerns als Blockchain-Hotspot.“

– Judith Gerlach, MdL, Bayerische Staatsministerin für Digitales

Alle Blockchain-Interessierten sind herzlich eingeladen, am regelmäßigen Blockchain-Stammtisch von Blockchain Bayern e.V., dem #Donnersblock, teilzunehmen. Dieser trifft sich künftig immer am ersten Donnerstag im Monat um 17.30 Uhr, zunächst in virtueller Form.

 

Alle Infos zu Blockchain Bayern e.V. finden Sie unter:  https://www.blockchain-bayern.de/

 

2021: Wie sollen Unternehmen planen?

CHEFSACHE im Interview mit Karl-Christian Bay, Wirtschaftsexperte, Geschäftsführer der BAY GmbH & Co-Moderator der "Business-Lounge"

Viele Unternehmen befinden sich aktuell im Budgetierungsprozess für 2021. Horden von GFs/CEOS und Abteilungsleiter sind wochenlang damit beschäftigt Zahlen für das nächste Jahr abzugeben, die schon wenige Tage später veraltet sind. Wirtschaftsexperte Karl-Christian Bay fordert eine agile Planung, die sich uter anderem an Innovationen und Kosten orientiert.

Wie jedes Jahr um diese Zeit, beschäftigen sich Unternehmen mit dem Planungsprozess. Das vergangene Jahr wird beleuchtet, es werden Ziele sowie Budgets für das kommende Jahr festgelegt und man schaut in die Kristallkugel, um eine aussagekräftige Analyse zu erstellen damit am Ende 2021 möglichst ein Plus heraus kommt. Doch wie sinnvoll ist das alles in Zeiten von Corona, Handelskriegen oder sich ständig verändernden Gesellschaften?

 

LG Bonn: unangemessene Sicherheitsmaßnahmen

Das Urteil verdeutlicht die Ansicht der Rechtsprechung und bestätigt die Auffassung der Aufsichtsbehörden, dass die defizitäre Implementierung von Prozessen zur internen Evaluierung der Wirksamkeit von Sicherheitsmaßnahmen nicht nur mit teils erheblichen Risiken für die betroffenen Personen verbunden ist, sondern ebenfalls Sanktionsrisiken für die Verantwortlichen birgt.

Insofern fordert diese Rechtsprechung die Prüfung der eigenen Verfahren im Umgang mit Betroffenenanfragen und die Implementierung angemessener technischer und organisatorischer Maßnahmen zum Schutz der Betroffenen. 

EuGH - Schrems II: EU-US Privacy Shield – was aus datenschutzrechtlicher Sicht jetzt zu beachten ist

Das Wichtigste in Kürze

  •  Das EU-US Privacy Shield darf nicht mehr als Rechtsgrundlage für den Transfer personenbezogener Daten in die USA herangezogen werden.
  • Eine Übertragung personenbezogener Daten auf Grundlage von Standardvertragsklauseln in die USA ist weiterhin möglich.
  •  Kann kein angemessener Schutz der personenbezogenen Daten bei einem Transfer sichergestellt werden, muss der Datentransfer zwingend unterbleiben.
  •  Findet ein Datentransfer statt, obwohl kein angemessenes Schutzniveau gewährleistet werden kann, besteht seitens des Unternehmens eine Informationspflicht gegenüber der zuständigen Aufsichtsbehörde.
  •  Es besteht keine Karenzzeit oder Übergangsfrist zur Umsetzung des Urteils.

Grundsatz
Personenbezogene Daten dürfen grundsätzlich nur in Drittländer übermittelt werden, wenn das datenempfangende Land ein angemessenes Datenschutzniveau vorweisen kann. Die Angemessenheit orientiert sich an dem durch die EU-DGSVO in Europa gewährleisteten Niveau.

EuGH-Urteil vom 16. Juli 2020 (Rs.C-311/18)
Der EuGH beurteilte das EU-US Privacy Shield als nicht ausreichend,um ein durch die EU-DSGVO garantiertes gleichwertiges Schutzniveau in den USA gewährleisten zu können und betont, dass die in den USA existierenden Überwachungsprogramme der US-Behörden sowie die in den USA bestehenden Rechtsschutzmöglichkeiten nicht mit dem Unionsrecht vereinbar sind.

Standardvertragsklauseln hält der EuGH in seinem Urteil für grundsätzlich wirksam. Im Einzelfall muss der Datenexporteur aufgrund seiner Verantwortlichkeit prüfen, ob die Standardvertragsklauseln im Hinblick auf das Recht des Drittlandes einen angemessenen Schutz gewährleisten. Der EuGH betont damit die Rolle der verantwortlichen Stelle und die daraus erwachsende Prüf-/Kontrollpflicht. Im Einzelfall müssen dann in Abhängigkeit auch einer Risikoabwägung  weitere Datensicherheitsmaßnahmen ergriffen bzw. vereinbart werden, um ein angemessenes Schutzniveau sicherstellen zu können. Sollte trotz der ergriffenen weiteren Schutzmaßnahmen kein angemessener Schutz der transferierten Daten gewährleistet werden, hat die verantwortliche Stelle den Datentransfer auszusetzen. Die zuständige Aufsichtsbehörde kann im Fall eines Unterlassens den Transfer untersagen.

Der EuGH sieht keine Karenzzeit oder Übergangsfrist für die Umsetzung der im Urteil dargestellten Entscheidungen vor.

 

Handlungsempfehlungen für Unternehmen
Unternehmen sollten in folge des EuGH-Urteils sämtliche Prozesse prüfen, die den Transfer personenbezogener Daten in Drittländer beinhalten. Bestandteil der Prüfung sollte sein, ob neben dem Privacy Shield weitere Maßnahmen vereinbart wurden und, ob diese unter Betrachtung des Risikos der Datenverarbeitung im Einzelfall ausreichend sind; sollte nur auf das Privacy Shield Bezug genommen worden sein, so sind zwingend alternative Maßnahmen zwischen dem Datenexporteur und dem Datenimporteur zu vereinbaren.

Empfohlenes Vorgehen
1. Identifizierung des internationalen Datentransfers, auch innerhalb von Konzernen und Unternehmensgruppen,
2. Risikobewertung der Datenverarbeitung im Einzelfall und Kontrolle der eingerichteten Maßnahmen auf Angemessenheit und Gültigkeit sowie
3. Einrichtung von zusätzlichen oder alternativen Maßnahmen für den jeweiligen datenverarbeitenden Prozess.

Sollten Standartvertragsklauseln vereinbart worden sein, können diese auch um zusätzliche vertragliche Regelungen ergänzt werden, was auch im Einzelfall zusätzliche technische Sicherheitsmaßnahmen umfasst.
Als Alternativen zum EU-US Privacy Shield sind auch verbindliche interne Datenschutzregeln, sog. Binding Corporate Rule, anwendbar oder eigene genehmigungspflichtige Standardvertragsklauseln. Weiter besteht die Möglichkeit eine Ausnahmereglung nach Art. 49 EU-DSGVO zu nutzen.

Buchveröffentlichung

Handbuch Internal Investigations, Hrsg. Karl-Christian Bay

Beck online schreibt hierzu:

Internal Investigations gehören mittlerweile zum Repertoire der Vorstände und Aufsichtsräte von Gesellschaften, denen Unregelmäßigkeiten vorgeworfen werden oder die die Erhebung solcher Vorwürfe tunlichst vermeiden wollen. Doch für viele Unternehmen sind sie noch Neuland. Denn in rechtlicher und steuerlicher Hinsicht werfen interne Untersuchungen eine Vielzahl an Fragen auf, die bislang nicht durchweg als geklärt angesehen werden können.

Das Handbuch Internal Investigations zeigt die zwingenden Grundlagen auf, die im Rahmen einer internen Untersuchung zu beachten sind und gibt wertvolle Praxistipps. Insbesondere möchte das Werk ein Verständnis dafür schaffen, dass Internal Investigations nicht isoliert sondern grundsätzlich eingebettet in die Themenkomplexe Compliance, Corporate Governance und Nachhaltigkeit betrachtet werden sollten. Das Werk behandelt folgende Themenkomplexe:

  • Pflichten der Organe und des Managements,
  • Auftragserteilung,
  • Rechtliche, steuerliche, betriebswirtschaftliche und IT-Vorgaben,
  • Ansatz und Planung von internen Untersuchungen,
  • Zusammenarbeit der Internen Revision mit externen Beratern,
  • Dokumentation und Aufbewahrungspflichten,
  • Kommunikation während und über die laufende Untersuchung,
  • Anpassung der Compliance-Struktur.
     

Zielgruppe

Compliance-Manager, Leiter Rechts-, Finanz- und Steuerabteilungen, Geschäftsleiter, Vorstand von Unternehmen, die sich konkret mit der Durchführung interner Ermittlungen befassen sowie international tätige Konzerne; Rechtsanwälte (Schwerpunkt Wirtschaftsrecht)

Quelle

http://www.beck-shop.de/Bay-Handbuch-Internal-Investigations/productview.aspx?product=11721426 vom 25.02.2015

Buchveröffentlichung

ISO 26000 in der Praxis. Der Ratgeber zum Leitfaden für soziale Verantwortung und Nachhaltigkeit, Hrsg. Karl-Christian Bay

Beck Online schreibt hierzu:

Darstellung, Diskussion und Analyse - Vergleich zu bestehenden Regelungen - Umsetzungshinweise und Beispiele

Ölpest im Golf von Mexiko, Kinderarbeit in der Textilindustrie, umstrittene Bonuszahlungen und Korruption - die Öffentlichkeit reagiert zunehmend empört auf Missstände im Umweltschutz, beim Arbeitsrecht oder bei der Einhaltung von Menschenrechten. Organisationen stehen heute mehr denn je unter Beobachtung - aus der Finanz- und Wirtschaftskrise wurde eine Vertrauenskrise. Mit der ISO 26000 existiert ein Leitfaden für gesellschaftliches Wohlverhalten in einem noch nie dagewesenen Detaillierungsgrad. Ein international zusammengesetztes Gremium aus rund 100 Ländern entwickelte konkrete Handlungsoptionen für die Wahrnehmung von sozialer Verantwortung in Organisationen. Dieses setzte sich aus Industrievertretern, Arbeitnehmern, Konsumenten, Regierungsbeauftragten und Nichtregierungsorganisationen zusammen. Der Ratgeber fasst die zentralen Botschaften der ISO 26000 verständlich und ideologiefrei zusammen. Er erläutert, was der viel diskutierte Standard bringt und was nicht. Dieser wird mit bestehenden Gesetzen und Vorschriften (wie z.B. dem Deutschen Corporate Governance Kodex) verglichen. Das Buch zeigt Entscheidern anhand konkreter Fälle aus der jüngeren Wirtschaftsgeschichte klare Handlungsoptionen auf. Anleitungen und praktische Tipps runden die Darstellung ab. Mit Stimmen von Befürwortern und Kritikern aus der Industrie, der Politik, den Gewerkschaften und von Nichtregierungsorganisationen.

Quelle

http://www.beck-shop.de/Bay-ISO-26000-Praxis/productview.aspx?product=12061458 vom 25.02.2015